Исследователь нашел опасные приложения в Samsung Galaxy Store

В официальный магазин приложений Samsung, который называется Galaxy Store, проникли вредоносные приложения, и пользователи жалуются на множественные срабатывания Play Protect на своих устройствах.

Журналисты Android Police сообщают, что малварь имитирует некогда популярное пиратское приложение ShowBox, которое закрылось еще в 2018 году, после того как коалиция киностудий сумела идентифицировать его оператора и подала на него в суд. ShowBox и его «брат-близнец» MovieBox давали пользователям доступ к фильмам и сериалам, защищенным авторскими правами, без оплаты подписки.

Очевидно, мошенники сделали ставку на былую популярность пиратского приложения, и «клоны» действительно были хорошо приняты сообществом пользователей Samsung. Подделки рекламировались как стриминговые приложения, обещая анонимный доступ к защищенному контенту через интегрированный VPN. Интересно, что, по данным Android Police, по крайней мере некоторые из этих приложений действительно предоставляли обещанные пиратские функции.

По словам специалиста по мобильной безопасности linuxct, который заметил проблему, приложения-клоны вызывают срабатывание Google Play Protect, так как запрашивают доступ к опасным разрешениям, которые могут привести к установке малвари на устройство. Так, если пользователь выдает приложению все нужные разрешения, оно получает доступ к спискам контактов, журналам вызовов, права на выполнение кода, загрузку вредоносных программ, клики по объявлениям и так далее.

Проанализировав приложения из Samsung Galaxy Store, linuxct обнаружил рекламную технологию, которая может использовать для удаленного выполнения кода, и ею можно злоупотреблять для выполнения команд на устройстве. К сожалению, проверка через VirusTotal выявила, что далеко не все антивирусные решения обнаруживают эту малварь, помечая ее как потенциально опасные программы, трояны, adware и так далее.

Издание объясняет, что с юридической точки зрения Samsung должен был отклонить эти приложения еще на этапе рассмотрения из-за описания их функциональности, однако Samsung Galaxy Store проверяет приложения только на наличие малвари и вредоносного поведения, а нарушение авторских прав во внимание не принимается. Поскольку приложения не содержали вредоносного кода «из коробки», их не сочли опасными и допустили в магазин.

Специалисты советуют всем, кто установил один из клонов ShowBox через Galaxy Store, немедленно удалить приложение и запустить полное сканирование системы, чтобы удалить любые потенциально опасные артефакты.